Серемотеинтерактивлогонрайт является привилегией (вы можете предоставить эту привилегию с помощью следующей политики: Разрешить вход через службы удаленных рабочих столов). Как говорится в документации:
Этот параметр политики определяет, какие пользователи или группы могут получить доступ к
экран входа в систему удаленного устройства через службы удаленных рабочих столов
связь[...]
Большой! Однако, как вы видели, пользователи по-прежнему получают сообщение об ошибке, если они не являются пользователями удаленного рабочего стола. Это тоже задокументировано:
Чтобы использовать службы удаленных рабочих столов для успешного входа в удаленную
устройство, пользователь или группа должны быть членами группы пользователей удаленного рабочего стола.
или группы администраторов и получить разрешение на вход через удаленный
Службы рабочего стола правильно.[...]
Ну, это потому, что есть (как минимум) два слоя:
- Дескриптор безопасности службы удаленных рабочих столов: Служба удаленного рабочего стола имеет свой собственный список доступа.
- Серемотеинтерактивлогонрайт привилегия
Здесь имеет значение порядок: пользователь сначала подключается к службам удаленных рабочих столов, и если это разрешено, то Windows проверит, что токен пользователя содержит SeRemoteInteractiveLogonRight, прежде чем открывать сеанс пользователя.
Вы можете увидеть Дескриптор безопасности службы удаленных рабочих столов в Win32_TSPermissionsSetting класс WMI (StringSecurityDescriptor
для RDP-TCP). Например, вы можете передать StringSecurityDescriptor командлету Powershell. ConvertFrom-SddlString
чтобы увидеть его содержимое в более красивом формате:
$sddl = Get-WmiObject -class win32_tspermissionssetting -Namespace root\cimv2\terminalservices | где {$_.TerminalName -eq "RDP-Tcp"} |выбрать StringSecurityDescriptor
ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | выберите -ExpandProperty DiscretionaryAcl
Вывод покажет вам, что группа пользователей удаленного рабочего стола разрешена по умолчанию:
[...]
Пользователи удаленного рабочего стола: AccessAllowed
[...]
В основном предоставление Серемотеинтерактивлогонрайт
не добавит пользователя/группу в дескриптор безопасности удаленного рабочего стола, поэтому службы удаленных рабочих столов отклоняют вход в систему. перед Windows даже пришлось проверить, предоставлено ли SeRemoteInteractiveLogonRight.
Вы можете вручную добавить пользователей или группы в дескриптор безопасности служб удаленных рабочих столов с помощью Добавить аккаунт метод: SDDL будет изменен, и вы увидите в нем свою учетную запись/группу. Если вы предоставили Серемотеинтерактивлогонрайт
привилегия, то вы сможете войти в систему (если, конечно, другие ограничения не действуют на этом компьютере или пользователе).
Теперь, что произойдет, если вы добавите пользователя в дескриптор безопасности службы удаленных рабочих столов, не предоставив Серемотеинтерактивлогонрайт
? Что ж, службы удаленных рабочих столов примут соединение, но вы увидите ошибку, когда Windows попытается открыть ваш сеанс, и, как вы можете видеть, это не ошибка, выданная клиентом RDP, графический канал открыт, и ошибка показывает удаленный компьютер:
И вот что нам сообщают журналы аудита безопасности в данном случае (если вы проводите аудит):
Вы будете нет см. это событие, если пользователю не разрешено подключение в соответствии с дескриптором безопасности службы удаленных рабочих столов, так как операция входа завершается сбоем до того, как Windows сможет проверить привилегии.
Я настоятельно рекомендую вам использовать Пользователи удаленного рабочего стола
группа, так как эта группа по умолчанию присутствует в дескрипторе безопасности службы удаленного рабочего стола, и ей разрешено использовать Серемотеинтерактивлогонрайт
привилегия (если сервер не является контроллером домена). Вам не нужно возиться с дескриптором безопасности RDS.